Как проверить удаление файлов и папок в Windows Server 2008 r2
Мне нужно включить аудит действий по удалению определенной сетевой папки (и всех ее дочерних элементов) на компьютере под управлением Windows Server 2008 r2. Самой близкой, которую я смог найти, была эта статья - http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/ но она относится к 2003 году.
В комментариях один человек отмечает, что EventID 560 и 564 не имеют отношения к Win 2003. Они предполагают, что удаление в Win 2008 - это EventID 4656, но я не вижу ни одного из этих событий в моем журнале безопасности. Я включил аудит папки с помощью вкладки "Безопасность" после щелчка правой кнопкой мыши на папке. Другой комментарий в цитируемой ссылке предполагает, что аудит должен быть включен как в локальной файловой системе, так и на сервере, а также что групповые политики могут перезаписывать любые локальные политики.
Я попытался включить аудит в разделе Локальные политики безопасности в разделе Локальные политики \ Политика аудита \ Аудит доступа к объекту, но, похоже, он удаляется каждый раз, когда я закрываю консоль политики. Я являюсь локальным администратором на сервере, но не администратором домена и немного застрял на этом этапе. Любые указатели будут в основном оценены.
3 ответа
Включите корзину Active Directory для этого общего ресурса, а после аудита удалите изменения в Active Directory. ( Пошаговое руководство по корзине Active Directory)
Использование механизма аудита
В Windows Server 2008 R2, как и в Windows Server 2008, можно использовать механизм аудита доменных служб Active Directory (AD DS) с политикой аудита "Изменения службы каталогов" для регистрации старых и новых значений при внесении изменений в объекты Active Directory и их атрибуты., Мы рекомендуем вам реализовать аудит в вашей среде Active Directory для отслеживания всех удалений объектов, времени удаления объектов и имен учетных записей, которые выполняют эти удаления объектов. Дополнительные сведения см. В пошаговом руководстве по аудиту AD DS ( http://go.microsoft.com/fwlink/?LinkID=125458).
От; Приложение А. Дополнительные задачи корзины Active Directory
nb, для этого решения вам нужно быть не только локальным администратором.
Я знаю, что это старый вопрос, но у меня был тот же вопрос, и я так и не нашел ответа, так что, надеюсь, это поможет кому-то еще. В итоге я обнаружил событие удаления с идентификатором события 4663. Вот пример:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Сначала настройте доступ к объекту аудита в групповой политике AD или на локальном объекте групповой политики сервера. Параметр находится в разделе "Конфигурация компьютера" -> "Настройки Windows" -> "Параметры безопасности" -> "Локальные политики" -> "Политики аудита". Включите аудит успеха / сбоя для "Аудит доступа к объектам".
После этого настройте запись аудита для определенной папки, которую вы хотите проверить. Щелкните правой кнопкой мыши папку -> Свойства -> Дополнительно. На вкладке "Аудит" нажмите "Добавить", затем введите пользователей / группы, которых вы хотите проверять, и какие действия вы хотите проверять - аудит "Полный доступ" создаст запись аудита каждый раз, когда кто-либо открывает / изменяет / закрывает / удаляет файл, или вы можно просто проверить операции удаления.
После выполнения этих действий все удаленные файлы будут отображаться в журнале безопасности файлового сервера: https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx